S75E IPS插卡病毒防护典型配置案例

H3C S9500E&S12500系列交换机上ACG&IPS插卡MQC引流典型配置一、组网需求：某客户购买了两块SecBlade IPS插卡部署在S95E交换机上，为内网提供攻击检测和安全防护，两台交换机运行在IRF模式，外网用户访问服务器的流量经过IPS插卡，内部服务器互访的流量不上IPS插卡，并且两块插卡能实现主备，当其中一块插卡故障以后业务可以迅速切换到另一块插卡。

二、组网图：如上图所示：两台S9505E交换机堆叠，每台交换机上插一块IPS插卡，内部服务器网关部署在交换机上，服务器互访的流量不经过IPS插卡，外部用户防范服务器的流量正常情况下经过IPS-1，当IPS-1故障以后，流量经过IPS-2。

交换机版本：Comware Software, Version 5.20, Release 1238P08IPS插卡版本：i-Ware software, Version 1.10, Ess 2110P10三、配置步骤：交换机上关键配置：#acsei server enable //通过acsei协议对插卡进行时间同步和状态检测，实现主备切换#acl number 3001 //匹配上插卡的流量description Match-ALL-Addressrule 0 permit ipacl number 3002 //匹配上插卡的流量，用于备份description Match-ALL-Addressrule 0 permit ipacl number 3004 //内网互访的流量不上插卡description Match-Internal-Flowrule 0 permit ip destination 192.168.14.0 0.0.0.255rule 5 permit ip destination 192.168.15.0 0.0.0.255rule 10 permit ip destination 192.168.16.0 0.0.0.255rule 15 permit ip destination 192.168.17.0 0.0.0.255rule 20 permit ip destination 192.168.18.0 0.0.0.255#acl number 4000 //匹配广播、组播和ARP报文description Match-Multicast-Broadcast-ARPrule 0 permit dest-mac 0100-0000-0000 ff00-0000-0000rule 5 permit dest-mac ffff-ffff-ffff ffff-ffff-ffffrule 10 permit type 0806 ffff#vlan 1001 to 1008#vlan 4000 //用于IRF的BFD MAD检测description Mad-Detection#traffic classifier Internal-Flow-1 operator andif-match acl 3004traffic classifier Multicast-Broadcast-ARP operator andif-match acl 4000traffic classifier All-Address-1 operator andif-match acl 3001if-match forwarding-layer route //仅将三层转发流量引流traffic classifier All-Address-2 operator andif-match acl 3002if-match forwarding-layer route#traffic behavior Deny-Multicast-Broadcast-ARPfilter denytraffic behavior Redirect-To-IPS-1redirect interface Ten-GigabitEthernet1/4/0/1traffic behavior Redirect-To-IPS-2redirect interface Ten-GigabitEthernet2/4/0/1traffic behavior Allowfilter permit#qos policy Deny-Multicast-Broadcast-ARP //本地产生的组播、广播和ARP报文不上插卡classifier Multicast-Broadcast-ARP behavior Deny-Multicast-Broadcast-ARPqos policy DOWN_STREAMclassifier Multicast-Broadcast-ARP behavior Allow //广播等报文不上插卡classifier All-Address-1 behavior Redirect-To-IPS-1 //流量先上IPS-1classifier All-Address-2 behavior Redirect-To-IPS-2 //IPS-1故障后上IPS-2qos policy UP_STREAMclassifier Multicast-Broadcast-ARP behavior Allowclassifier Internal-Flow-1 behavior Allow //内网互访流量不上插卡classifier All-Address-1 behavior Redirect-To-IPS-1classifier All-Address-2 behavior Redirect-To-IPS-2#interface Vlan-interface1001ip address 192.168.11.254 255.255.255.0#interface Vlan-interface1002ip address 192.168.12.254 255.255.255.0#interface Vlan-interface1004ip address 192.168.14.254 255.255.255.0#interface Vlan-interface1005ip address 192.168.15.254 255.255.255.0#interface Vlan-interface1006ip address 192.168.16.254 255.255.255.0#interface Vlan-interface1007ip address 192.168.17.254 255.255.255.0#interface Vlan-interface1008ip address 192.168.18.254 255.255.255.0#interface Vlan-interface4000 //BFD MAD检测VLANmad bfd enablemad ip address 200.0.0.1 255.255.255.252 chassis 1mad ip address 200.0.0.2 255.255.255.252 chassis 2#interface GigabitEthernet1/2/0/17 //专用于MAD检测的端口，关闭STPport access vlan 4000stp disable#interface GigabitEthernet2/2/0/17port access vlan 4000stp disable#接口上下发MQC:#interface GigabitEthernet1/2/0/1port access vlan 1004qos apply policy UP_STREAM inbound#interface GigabitEthernet1/2/0/2port access vlan 1001qos apply policy DOWN_STREAM inbound#interface GigabitEthernet2/2/0/1port access vlan 1008qos apply policy UP_STREAM inbound#interface GigabitEthernet2/2/0/2port access vlan 1002qos apply policy DOWN_STREAM inbound#S95E与IPS插卡接口配置：#interface Ten-GigabitEthernet1/4/0/1port link-type trunkport trunk permit vlan 1 1001 to 1008 //必须允许VLAN 1通过，否则跨框重定向报文不生效stp disableqos apply policy Deny-Multicast-Broadcast-ARP inbound //防止本地产生的组播、广播、ARP报文从内敛口转发到插卡，S95E&S12500对于本机发出的协议报文，用MQC在outbound方向不能过滤，会导致环路，ospf邻居down等问题，所以需要在inbound方向过滤mac-address max-mac-count 0#interface Ten-GigabitEthernet2/4/0/1port link-type trunkport trunk permit vlan 1 1001 to 1008stp disableqos apply policy Deny-Multicast-Broadcast-ARP inboundmac-address max-mac-count 0#acsei server //配置acsei时间参数，一般保持默认即可acsei timer clock-sync 1 //配置插卡同步时间的间隔，单位分钟，默认5分钟acsei timer monitor 1 //配置对插卡的监控时间间隔，单位是秒，默认5秒#irf-port 1/1port group interface GigabitEthernet1/2/0/15port group interface GigabitEthernet1/2/0/16#irf-port 2/2port group interface GigabitEthernet2/2/0/15port group interface GigabitEthernet2/2/0/16#IPS插卡相关配置（两快IPS插卡的配置一样）：1.去使能OAA ACFP Client。

防病毒软件的高级设置技巧：如何配置保护级别？在网络时代，计算机病毒和恶意软件泛滥成灾，给我们的计算机系统带来了巨大的威胁。

为了保护我们的计算机安全，大多数人会安装一款防病毒软件。

然而，仅仅安装软件并不足以担保计算机的安全，正确配置软件的高级设置变得尤为重要。

下面，本文将详细介绍几种防病毒软件的高级设置技巧，帮助读者更好地配置保护级别。

一、实时监控实时监控是防病毒软件的核心功能之一，它可以持续监控计算机系统的运行状况，并在发现威胁时立即采取行动。

在进行高级设置时，我们应该确保实时监控功能已经开启，并且对其进行细化的配置。

一般来说，软件会提供多种实时监控选项，如文件系统监控、网络流量监控、程序行为监控等。

我们可以根据实际需求选择相应的监控选项，并根据软件的指引进行配置。

这样一来，即可增强实时监控功能的灵敏度，提高对威胁的检测和拦截能力。

二、定时扫描除了实时监控，定时扫描也是保护计算机安全的重要手段。

定时扫描可以帮助我们及时发现已经感染的病毒，并进行清除。

在进行高级设置时，我们可以设置定时扫描的频率和深度。

一般来说，每周进行一次全盘扫描是必要的，这样可以确保计算机系统的整体安全。

此外，还可以设置每天进行一次快速扫描，以及在文件下载后进行自动扫描。

通过灵活配置定时扫描，我们可以有效保护计算机免受病毒侵害。

三、病毒库更新病毒库是防病毒软件能够识别和拦截病毒的重要参考指标。

由于病毒更新迅猛，我们需要及时更新病毒库，以便软件能够识别最新的病毒样本。

在进行高级设置时，我们可以配置病毒库的自动更新选项，并设置更新频率。

一般来说，每天进行一次自动更新是比较合适的，这样可以保证我们始终拥有最新的病毒识别能力。

另外，为了提高更新效率，我们可以选择仅更新病毒库，而不更新其他不必要的组件。

四、设置隔离区隔离区是防病毒软件的一个重要功能，它能够将疑似或确诊的恶意文件隔离起来，防止其对系统造成进一步的威胁。

在进行高级设置时，我们可以设置隔离区的路径和大小限制。

H3C SecBlade IPS插卡典型配置案例关键词：OAA IPS插卡摘要：本文主要介绍H3C SecBlade IPS插卡的典型配置案例。

缩略语：目录1 特性简介 (3)2 应用场合 (3)3 LSQ1IPSSC0插卡典型配置（该插卡只适用于S7500E交换机，可配置OAA） (3)3.1 组网需求 (3)3.2 配置思路 (4)3.3 配置步骤 (5)4 LSB1IPS1A0插卡典型配置（该插卡只适用于命令行为Comware V3的S9500交换机） (9)4.1 组网需求 (9)4.2 配置思路 (10)4.3 配置步骤 (11)5 相关资料 (15)1 特性简介H3C SecBlade IPS产品是一款主动式入侵防御系统，能够及时阻止各种针对系统漏洞的攻击，屏蔽蠕虫、病毒和间谍软件等；在不同层面上配置带宽管理策略，阻断或限制P2P应用，从而帮助IT部门完成应用系统、网络基础设施和系统性能保护的关键任务。

IPS特性主要是入侵防御功能，依据上千种常见攻击特征库，对系统漏洞进行的攻击进行防御。

2 应用场合应用于流量较大的环境，例如校园主干网出口等。

3 LSQ1IPSSC0插卡典型配置（该插卡只适用于S7500E交换机，可配置OAA）3.1 组网需求为了对经过S7500E交换机的流量进行检测，在S7500E交换机的2号槽位上安装了1块SecBlade IPS插卡。

交换机的GigabitEthernet3/0/1、GigabitEthernet3/0/2为内网接口，GigabitEthernet3/0/20为外网接口，内网和外网的流量都需要经过SecBlade IPS插卡的检测：●交换机的GigabitEthernet3/0/1和GigabitEthernet3/0/2连接内网方向，GigabitEthernet3/0/20连接外网方向。

●交换机的Ten-GigabitEthernet2/0/1为Trunk类型，和SecBlade IPS插卡的Ten-GigabitEthernet0/0相连接。

网络入侵防护方案合肥中方网络安全公司2019年10月28日文档说明非常感谢上海<XXXX>（简称<XXXX>）给予McAfee公司机会参与《<XXXX>网络入侵防护》项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。

需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和<XXXX>内部使用，未经McAfee公司书面许可，请勿扩散到第三方。

目录1<XXXX>安全威胁分析 (5)2网络入侵防护设计方案 (7)2.1方案设计原则 (7)2.2网络入侵防护的部署方案 (7)2.3自动升级更新 (9)2.4报警和攻击阻断状态管理 (9)2.5报表管理 (9)3部署IPS后网络可靠性 (11)4IntruShield网络IPS的优势 (13)4.1双机热备份功能（HA） (13)4.2虚拟IPS功能（VIPS） (13)4.3实时过滤蠕虫病毒和Spyware间谍程序 (14)4.4独特的DOS/DDOS探测方式：自动学习记忆和基于阀值的探测方式 (14)5实施方案 (15)5.1循序渐进的分阶段实施 (15)5.2物理/环境要求 (15)5.3实施准备阶段－（2-4个工作日） (16)5.4安装及配置阶段－（2个工作日） (17)5.5DAP阶段一——30天 (18)5.6DAP阶段二——30天 (19)5.7DAP阶段三——1天 (20)6IntruShield网络入侵防护产品简介 (21)6.1网络攻击特征检测 (21)6.2异常检测 (22)6.3拒绝服务检测 (23)6.4入侵防护 (24)6.5实时过滤蠕虫病毒和Spyware间谍程序 (26)6.6虚拟IPS (26)6.7灵活的部署方式 (27)1 <XXXX>安全威胁分析<XXXX>生产网络和OA网络架构如下图所示：由图中可以看出，<XXXX>生产网络和OA通过两条千兆链路直接连接，中间没有任何防火墙或者网络隔离设备；而OA网络和Internet网络有直接的专线连接。

关键词Key words：IPS插卡、ACG插卡、FW插卡、OAA、混插方案摘要Abstract：本文主要描述了SecBlade IPS以及SecBlade ACG，配合S75E及SecBlade FW不同组网环境的典型组网及配置方案，以及在实际应用过程中的注意事项，供插卡开局同学参考。

缩略语清单List of abbreviations：1 SecBlade安全插卡概述1.1 产品简介H3C SecBlade ACG和H3C SecPath IPS插卡式产品采用H3C公司最新的硬件平台和体系架构，支持分布式部署和集中管理，可灵活扩展。

通过基于浏览器的管理界面，管理员可以快速熟悉系统的操作管理。

H3C SecBlade ACG/IPS插卡，可以和S7500E系列/S9500系列高端交换机配合使用，可以在已使用该高端交换机的用户网络中方便部署，满足对流量运营管理的需要。

插卡式的H3C SecBlade ACG系列单板类型：●LSQ1ACGASC0：适用于H3C S7500E系列以太网交换机；●LSB1ACG1A0：适用于H3C S9500系列以太网交换机。

插卡式的H3C SecBlade IPS系列单板类型：●LSQ1IPSSC0：适用于H3C S7500E系列交换机；●LSB1IPS1A0：适用于H3C S9500系列交换机。

1.2 主要特点●将主网络设备的转发和业务处理有机融合在一起，在实现主网络设备高性能数据转发的同时，能够根据组网的特点处理安全业务，实现安全防护和监控。

●SecBlade IPS以及SecBlade ACG插卡基于H3C公司领先的OAA（OpenApplication Architecture）架构开发，通过内部的高速10G以太接口与主网络设备相连，H3C主网络设备的后插卡具有的线速转发能力，更保证了与业务插卡间通畅的数据转发。

●SecBlade IPS以及SecBlade ACG插卡采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，主网络设备的原有业务处理不会受到任何影响。